なりすましによる不正アクセスの被害内容と具体的な対策（不正検知）について

窃取した情報を使用し、第三者が本人になりかわる「なりすまし」。

その内容はクレジットカードの利用や個人情報の閲覧など、多岐にわたります。

本記事では2021年に発生したなりすましによる不正アクセスとその被害事例の内容をまとめました。具体的な対策についても触れていますので、ぜひご一読ください。

不正アクセスの多様化する手口や検知手法についてはこちらの記事も是非ご覧ください。

2020.10.20

不正アクセスの手口とは？多様化する不正アクセスの発生状況や手口と検知対策も併せて解説

WebメディアやTVのニュースでも取り上げられている「不正アクセス」。 国家公安委員会、総務省、経済産業省の調査によると、その件数は年々増加中。 国内導入数No.1の不正検知システムを提供するかっこ株式会社も、先日行われた講演「O-MOTION Sec...

「なりすまし」とは？

なりすましとは、他人の名前を勝手に利用し、その人物に代わり第三者とコミュニケーションを取ったり、掲示板やSNSなどに投稿するといった行為を指します。

なりすまし行為自体は罪には問われませんが、なりすましをするに当たって以下のようなことをしてしまうと罪に問われてしまいます。

• 不正にアカウントにアクセスする
• なりすまして誹謗中傷などする
• 他人になりすまし金銭を要求する

たとえば、SNSでのなりすましの場合

本人の名前を使い「犯罪を犯しました！」などの事実でない発言をしたり、「〇〇さんは裏で性格悪い」など第三者を誹謗中傷するなどしてしまうと、「名誉毀損罪」や「威力業務妨害罪」「傷害罪」などに問われる可能性が高いです。

また、メールでのなりすましの場合、以下のようにサービス提供元になりすまし、個人情報を騙し取るような行為は、「詐欺罪」などに当たります。

「〇〇銀行です。◯月◯日に不正アクセスがあり個人情報が流失してしまったため、お手数おかけしてしまい大変申し訳ありませんが、至急パスワードの変更を以下のリンクからお願いいたします。URL：〜〜〜〜」

このように、なりすまし自体に罪はなくとも、なりすましをすることによって迷惑や被害、不利益になることをしてしまうと結果的に罪に問われてしまいます。

サイトなどでなりすましを防止するには、不正検知システムを導入するのが最適です。

弊社、かっこが提供している不正検知システム「O-MOTION」では、なりすましなどによる不正アクセス対策が可能です。怪しいログインにのみ2要素認証を行うため、正常なログイン時にはユーザーの負担にならないシステムになっています。

「O-MOTION」の詳細については以下をご参考ください。

10万円でトライアルも受付中！/
トライアルのお申込はこちら

2021年に発生したなりすましによる不正アクセスとその被害事例

ここからは実際に「なりすまし」から被害が出た事例について紹介していきたいと思います。

今回紹介する事例は以下の3つです。

• 国立研究開発法人　海洋研究開発機構
• 愛知県あいちトリエンナーレ実行委員会
• 株式会社マイナビ

一見なりすましというと、SNSなど個人の被害が多いと思う方もいらっしゃるかもしれませんが、企業なども大きな被害に遭っています。

それぞれ詳しく見ていきましょう。

【事例1】国立研究開発法人　海洋研究開発機構

最初に紹介する事例は、国立研究開発法人の研究所の事例になります。

この事例では、職員になりすましシステムへ不正アクセスされたことで、職員の氏名やメールアドレス、パスワードなどの個人情報がおよそ1,947件流出してしまいました。

【事例2】愛知県あいちトリエンナーレ実行委員会

2つ目は、愛知県のあいちトリエンナーレ実行委員会という愛知県で実施されている国際芸術祭を実行している委員会が被害に遭った事例になります。

被害内容は、委員会が管理しているメールニュース配信システムに不正アクセスされ、登録者になりすましメールが送信されるといったものでした。送信されたメールは金銭を要求する悪質な脅迫メールだったことがわかっています。

【事例3】株式会社マイナビ

最後は、株式会社マイナビのなりすまし被害の事例です。
被害内容は、「マイナビ転職」へのなりすましによる不正ログインが確認されたとのこと。

幸い、個人情報の流出や不正流用の被害は出ておらず、大きな被害には繋がっていないとのことです。すでに再発防止策が取られており、警察など公的機関への報告も済んでいます。

このように企業などでもなりすましの被害は多々あります。実際なりすましを含む不正アクセスの被害は一般企業が圧倒的に多いことが総務省の調査でもわかっています。

引用：不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況 | 経済産業省

なりすましによる不正アクセスはどのような手口で行われるのか

ここまで実際の被害事例を紹介しましたが、一体どのような手口が使われているのか確認していきましょう。

なりすましによる不正アクセスには主に以下の3つの手口が使われます。

1. フィッシング
2. リスト攻撃
3. 総当たり攻撃

1つずつ詳しく解説していきます。

1.フィッシング

不正アクセスには「フィッシング」といった手口が用いられることがあります。フィッシングとは、ウェブ上で行われる個人情報を引き抜くための手口の一つです。

フィッシングのなかでもよくあるのが、公式サイトにそっくりの偽サイトにログインIDとパスワードを入力させ個人情報を抜き取るといった方法になります。

偽サイトなので入力した後はエラーとなりますが、エラー後に表示される画面が公式サイトとなっているケースもあります。「入力を間違えたから、エラーになったのかな？」と思うことはあっても、不正にデータを抜き取られたことには気づかないような巧妙な手口も。

また、フィッシングメールから「キーロガー」というキーボードの入力履歴を記録するソフトウェアを利用され個人情報を抜き取られるといった被害もあります。

2.リスト攻撃

2つ目にあげれる手口として「リスト攻撃」というものがあげられます。

リスト攻撃とは、何かしらの方法で手に入れたパスワード情報を他サイトに入力し不正アクセスを試みる手口です。

たとえば、Aサイトで利用しているパスワードをBサイト、Cサイトにも入力しログインを試みるといった手口になります。ログインされてしまうとさらなる個人情報の漏洩に繋がってしまい大きな被害に繋がってしまうことも。

なお不正アクセスに使われるメールアドレスやパスワードは、ダークウェブ（違法性の高い情報や物品が取引されているWebサイト）によって入手しやすい状況です。そのため、不正アクセスされることを前提とした対策が必要となってくるでしょう。

3.総当たり攻撃

最後に紹介する手口は「総当たり攻撃」です。総当たり攻撃は「ブルートフォースアタック」とも呼ばれています。

総当たり攻撃とは、その名の通りログインIDに対して考えられるパスワードを全て試みる手口です。

1から順に入力するとなると途方もない時間がかかってしまいそうに思えますが、入力する桁数や使用する文字が限られている場合はさほど時間がかからず突破されてしまうことがわかっています。

引用：https://www.ipa.go.jp/security/txt/2008/10outline.html

さらにさきほどのダークウェブなどでIDやパスワードのどちらかだけでも特定されてしまうと、不正ログインまでに必要な時間がぐっと減り、不正にログインされやすくなってしまいます。

なりすましの不正アクセスはどんな対策をすれば防止できる？

では、被害を防ぐための具体的な方法はどういったものが挙げられるのでしょうか。

ここでは、

1. ブラックリスト管理（監視）
2. 多要素認証
3. 人力でのモニタリング
4. 不正検知システムの導入

の4つに分けてご紹介していきます。

ブラックリスト管理（監視）

まず挙げられるのはIPアドレスのブラックリスト管理（監視）です。

IPアドレスとはインターネットに接続された機器を識別するための番号です。

パケットを送受信する機器を判別するために使われているのですが、機器ごとに単一の番号が割り当てられるのでブラックリスト管理が可能です。

しかしIPアドレスは変更・偽装ができるため、ブラックリスト管理（監視）の効果は短期間・限定的と言えます。

多要素認証

次に挙げられるのは多要素認証です。

多要素認証とは決済やログインをする際、ユーザーに対し複数の異なる要素を要求する認証方式です。

パスワードの入力の他に、SMSで送られるワンタムパスワードの入力や、秘密の質問への回答でユーザーを認証し、セキュリティを高めます。

（補足ですが、2種類の場合は二要素認証と呼ぶ場合もあります）

この多要素認証はセキュリティ精度は高いものの、ユーザーへの負担は大きいです。

そのため全ユーザーに強制しづらいという特徴があります。

人力でのモニタリング

3つ目として、人力でのモニタリングも1つの方法も挙げられます。

しかし、全ての決済やログインをモニタリングするコストは膨大ですし、監視できる時間帯も限られます。

これらの対策では精度や負荷の面から物足りない点は多いものの、何かしら網を設けて不正アクセスを防止する必要があり、運用されてきたという実態があります。

不正検知システムの導入

近年、抜本的な対策として重要視されているのが、大量のアクセスでもリアルタイム・高精度に不正アクセスを検知できるシステム（不正検知システム）です。

これらは様々な企業で開発され、金融機関等から導入が進み始めています。

不正検知システムとは

• 取引データ
• 検知サービスそれぞれのノウハウ

などの情報から、危険性を判断します。

弊社が提供している「O-MOTION」も、不正検知システムの一つです。

O-MOTIONは、独自のデバイス情報やユーザーの操作、アクセス時間、IPアドレスなどから不正アクセスか判別することが可能です。対策したいページへJavaScriptタグの埋め込みをするだけで導入できるため簡単にご利用いただけます。

O-MOTIONの詳しい機能については、以下をご確認ください！

10万円でトライアルも受付中！/
トライアルのお申込はこちら

不正利用の対策として注目される不正検知システム

なりすましを完全に防ぐことは企業側には不可能です。企業側でセキュリティを強化しても

• フィッシング
• リスト攻撃
• 総当たり攻撃
• ダークウェブからの購入

などで個人情報が漏れてしまっている場合は、防ぎようがありません。

そのため、不正アクセスされた場合にログインを防ぐ対策を取ることをおすすめします。

たとえば、先ほど紹介した不正検知システム「O-MOTION」なら、不正アクセスが行われても以下のように検知できます。

先ほどご紹介したリスト攻撃、総当たり攻撃なども、キーボードやマウスの動きなどから機械的なアクセスであることを検知できます。また、アクセスしている端末情報やIPアドレス、配送先の情報なども考慮し、不正者かどうか判断できます。

なりすましを始めとする不正アクセスによる被害の対策を行いたい方は、ぜひO-MOTIONの導入を検討してみてはいかがでしょうか。

10万円でトライアルも受付中！/
トライアルのお申込はこちら